No puede encontrar nada sobre PCI para cheques, porque no los cubre. PCI significa "Payment Card Industry": también conocido como tarjetas de crédito (y tarjetas de débito con el logotipo de Cardbrand). El Consejo de PCI (que estableció los estándares) no podría preocuparse por garantizar ninguna otra forma de pago (efectivo, cheques, giros postales, etc.). Incluso los sistemas similares a tarjetas de crédito (tarjetas de regalo, tarjetas de cargo emitidas por la tienda, etc.) no están cubiertos oficialmente, incluso si tienen una banda magnética.
Dicho esto, es buenas prácticas seguir los estándares de PCI para otras formas de pago, ya que están diseñados para la seguridad. Si accidentalmente filtra la información de pago de sus clientes, ¿a quién cree que van a culpar?
En lugar de PCI, la industria de ACH está cubierta por las Reglas de operación de NACHA , que también puede financiar here . Por lo que puedo decir, las secciones relevantes son 1.6 (Requisitos de seguridad) y 1.7 (Transmisión segura de información ACH a través de redes electrónicas no seguras). Juntos, comprenden menos de una página de texto. No puedo copiarlos aquí, pero 1.6 básicamente dice "Debe tener políticas establecidas para proteger estos datos". sin especificar ningún requisito específico.
En general, la solicitud del cliente puede ser perfectamente válida de una manera que no sería para los datos de la tarjeta. No es una buena idea, pero es válida.